VietNetwork.Vn

LottieFiles đã tiết lộ rằng gói npm "lottie-player" của họ đã bị xâm phạm như một phần của cuộc tấn công chuỗi cung ứng, khiến họ phải phát hành phiên bản cập nhật của thư viện.

"Vào ngày 30 tháng 10 ~ 6:20 chiều UTC - LottieFiles đã được thông báo rằng gói npm nguồn mở phổ biến của chúng tôi dành cho trình phát web @lottiefiles/lottie-player có các phiên bản mới trái phép được đưa vào cùng với mã độc hại", công ty cho biết trong một tuyên bố trên X. "Điều này không ảnh hưởng đến trình phát dotlottie và/hoặc dịch vụ SaaS của chúng tôi".


LottieFiles là một nền tảng quy trình làm việc hoạt hình cho phép các nhà thiết kế tạo, chỉnh sửa và chia sẻ hoạt hình ở định dạng tệp hoạt hình dựa trên JSON có tên là Lottie. Đây cũng là nhà phát triển đằng sau gói npm có tên là lottie-player, cho phép nhúng và phát hoạt hình Lottie trên các trang web.

Theo công ty, "một lượng lớn người dùng sử dụng thư viện thông qua CDN của bên thứ ba mà không có phiên bản được ghim đã tự động được cung cấp phiên bản bị xâm phạm làm bản phát hành mới nhất".

Các phiên bản độc hại của gói chứa mã nhắc nhở người dùng kết nối ví tiền điện tử của họ, với mục đích có thể là rút tiền của họ. Người dùng đang sử dụng phiên bản 2.0.5, 2.0.6 và 2.0.7 được khuyến nghị cập nhật lên 2.0.8.

LottieFiles lưu ý: "Các phiên bản 2.0.5, 2.0.6, 2.0.7 đã được phát hành trực tiếp lên   Đăng nhập để xem liên kết trong vòng một giờ bằng cách sử dụng mã thông báo truy cập bị xâm phạm từ một nhà phát triển có đủ các đặc quyền cần thiết".

Bên cạnh việc phát hành bản sửa lỗi, ba phiên bản giả mạo đã bị hủy phát hành khỏi kho lưu trữ gói npm. LottieFiles cho biết họ cũng đã kích hoạt kế hoạch ứng phó sự cố và thuê một nhóm ứng phó sự cố bên ngoài để hỗ trợ điều tra.